Rencana yang paling baik sering kali penuh dengan kesalahan - beberapa besar, beberapa lebih bernuansa. Evan Schuman melihat di mana CISO bisa gagal.

Keamanan perusahaan saat ini, setidaknya pada tingkat pendapatan tahunan $ 4 miliar dan lebih tinggi, berada di tempat yang genting. Meskipun GDPR dan praktik keamanan terbaik bersikeras untuk memiliki datamaps global yang lengkap, hampir tidak ada perusahaan seperti itu memilikinya. Penggunaan cloud hampir universal, tetapi aset yang pindah ke cloud meningkat tajam setiap tahun. Namun, keamanan cloud - atau, lebih tepatnya, ketergantungan yang tidak beralasan pada anggapan keamanan cloud - adalah sangat buruk. 

Bayangan IT semakin jauh
lebih buruk, meskipun sudah ada lebih dari satu dekade, penggunaan IoT adalah
melonjak dengan perlindungan keamanan sering nyaris diabaikan dan CISO naik
komunikasi hampir tidak membaik. Banyak masalah dewan yang terlibat
komunikasi. Tapi seburuk komunikasi dewan, komunikasi CISO ke LOB
secara luas dianggap lebih buruk.

 Akses ke informasi sensitif sedang dilakukan
berbagi lebih luas dengan segala macam mitra dan bahkan beberapa yang terkemuka
pelanggan, dengan sarana yang sangat tidak memadai untuk menjamin kepatuhan keamanan.
CISO dianggap sangat tahan terhadap perubahan, sementara beberapa CISO lebih
khawatir bahwa mereka didorong untuk menggunakan teknologi baru yang terbukti terlalu cepat.

 Seperti yang dikatakan lelucon lama, “Selain itu, Mrs.
Lincoln, bagaimana pertunjukannya? ”

 Area tempat sebagian besar konsultan keamanan
menyatakan keprihatinan terbesar adalah datamaps akurat dan komprehensif, alias,
manajemen aset. Singkatnya, kritiknya adalah bahwa hampir tidak ada perusahaan besar
tahu di mana semua data sensitif mereka, apa lingkungan cloud mereka
kontrol, perangkat seluler apa yang ada di perusahaan dan data apa yang digunakan perangkat tersebut
tahan dan mereka sering tidak tahu tentang apa aplikasi perusahaan itu
menggunakan. Jika keamanan dan TI tidak tahu di mana semua data mereka, argumen
terus, bagaimana mereka bisa melindunginya atau bahkan tahu jika itu telah dilanggar?
Sampai beberapa pihak ketiga tersandung pada data yang dicuri di web gelap atau hukum
penegakan menemukannya di server cyberthief yang ditangkap, keamanan ini
insiden seringkali merupakan rahasia dari orang-orang yang dibayar untuk melindungi data itu.

 "Sekitar 100 persen (CISO) memiliki aplikasi di Internet
cloud yang bahkan tidak mereka ketahui ada, ”kata Direktur Riset Gartner Sam
Olyaei. Itu adalah kombinasi dari bayangan IT (karyawan membeli sendiri
lingkungan cloud untuk bekerja pada proyek mereka sendiri atau unit bisnis mereka -
tanpa memberitahu IT atau keamanan) dan sifat banyak cloud utama
lingkungan, yang menggunakan aplikasi mereka sendiri di samping yang perusahaan
tahu tentang.

Joe Nocera, seorang kepala sekolah
dalam cybersecurity dan privasi dengan PwC, perusahaan konsultan lebih dikenal
sebagai PricewaterhouseCoopers, setuju dengan Olyaei. Dia melihat CISO perusahaan besar
masih berjuang dengan inventaris aset. Bagian dari masalah itu adalah datamap itu
kesempurnaan - mengetahui persis di mana semua data, aplikasi, dan infrastruktur berada dan
apa yang mereka semua mengandung - bisa dibilang tidak mungkin dan itu membuat banyak CISO enggan
dari mencoba dengan serius, terutama ketika mereka kewalahan dengan tugas-tugas lain
bahwa mereka sebenarnya bisa menguasai.

“Mereka memberi tahu saya, 'Saya akan
tidak pernah 100 persen lengkap dan akurat 'dan saya katakan pada mereka' Jadi usahakan
99 persen itu, '"kata Nocera. “Mereka dihantam oleh kesalahan konfigurasi atau a
menambal ke sistem yang mereka bahkan tidak tahu sedang berjalan pada perangkat lunak itu. Mereka
entah kewalahan oleh ukuran dan tantangan dan mereka bahkan tidak memulai
atau mereka mencoba dan melakukan terlalu banyak dan mereka tidak mencapai apa pun. "

Analis lain yang menunjuk pada kekurangan data sebagai
menjadi kesalahan utama CISO adalah Andrew Morrison, yang memimpin strategi, pertahanan dan
Menanggapi Deloitte Cyber ​​di AS Bagian dari konsekuensi negatif
terwujud dengan manajemen kerentanan aplikasi. CISO “sedang duduk
pada bom waktu, Mereka hanya dapat memperbaiki atau menambal banyak hal, ”kata Morrison. "Nya
permainan konfigurasi tambalan yang sulit. "

PwC's Nocera menawarkan satu solusi dan itu adalah “meningkatkan
teknik big data untuk inventaris yang lebih baik (menangani) dan menemukan lingkungan.
Jenis cara apa pun untuk terus memantau aset baru. " Beberapa perusahaan telah mempermainkan
dengan menggunakan modifikasi otentikasi berkelanjutan keamanan untuk terus-menerus
tonton jaringan untuk semua executable baru atau bahkan perangkat IoT - baik dipasang oleh teman atau musuh.
Nocera mengatakan itu bisa membantu dengan inventaris aset juga, terutama ketika
mencoba mengidentifikasi aset atau program yang dibuat melalui bayangan IT.

CISOs “tidak dapat bergantung pada informasi lain yang diberitahukan kepada Anda,” Nocera
mengatakan, menambahkan bahwa mereka juga menderita kekurangan sumber daya yang tajam. Juga dia
mengatakan, setiap unit hanya mencari barang-barang yang paling berhubungan dengan barang mereka sendiri
operasi. “Tim infrastruktur sedang mencoba menemukan aset, tim data
mencoba menemukan data, grup privasi mencari GDPR atau CCPA
pelanggaran, dll. "

Tantangan aset
manajemen mengarah langsung ke masalah dengan cloud, apakah itu sebuah
lingkungan cloud resmi atau yang dibeli oleh unit pemberontak yang beroperasi di dalamnya
aturan liar barat bayangan IT.

Awan terbesar
masalah yang dibahas oleh konsultan adalah banyak departemen keamanan berasumsi - atau,
mungkin lebih blak-blakan, harapan - bahwa lingkungan cloud utama (Amazon, Google,
Microsoft, dll.) Menawarkan keamanan yang jauh lebih besar bagi penyewa klien daripada yang sebenarnya
lakukan.

Seringkali, bukan itu
lingkungan cloud tentu kurang aman daripada keamanan di
operasi penyewa perusahaan - meskipun kadang-kadang memang demikian
- tetapi lingkungan cloud bekerja dengan sejumlah besar penyewa
dari perusahaan Fortune 1000 dan vendor cloud melakukan yang terbaik yang dapat ditawarkannya
lingkungan vanili yang layak untuk semua. Tapi itu tidak dapat menyesuaikan lingkungannya
kepatuhan dan kebutuhan keamanan dari berbagai perusahaan penyewa dan itu
oleh karena itu mengasumsikan bahwa setiap penyewa klien akan melakukan pekerjaannya sendiri
penyesuaian berdasarkan keamanan, kepatuhan, vertikal dan
kebutuhan geografis.

 "Alur kerja cloud secara inheren tidak aman,"
kata Gartner's Olyaei, yang menggambar perbandingan penyewa cloud dengan a
penyewa fisik di gedung apartemen. Dia berpendapat bahwa penyewa apartemen
harus memastikan bahwa pintu dan jendela apartemen dikunci dan tidak
orang asing diberikan akses, tetapi penyewa apartemen itu tidak dapat mengendalikan CCTV
lobi atau pastikan bahwa penjaga pintu dan penjaga keamanan tetap terjaga dan melakukannya
pekerjaan mereka. “CISO percaya bahwa itu adalah (penyedia layanan cloud)
tanggung jawab untuk melindungi data dan aplikasi mereka ”meskipun itu bukan
Pekerjaan perusahaan cloud, katanya.

Olyaei menunjuk ke
Pelanggaran awan besar Capital One sebagai contoh perusahaan yang mempercayai
penyedia cloud terlalu banyak pada masalah keamanan. "Fakta bahwa
kesalahan konfigurasi yang terjadi adalah tanggung jawab pelanggan, ”katanya.

Morrison Deloitte
setuju. “Dalam adopsi cloud, pengertian keamanan outsourcing
tanggung jawab kepada vendor cloud ”tetap, katanya. Beberapa CISO “adalah
belajar dengan cara yang sulit bahwa Anda tidak menyingkirkan tanggung jawab untuk keamanan ”
ketika vendor cloud dipertahankan.

Morrison berkata beberapa
kliennya menderita karena bagaimana vendor cloud menangani beberapa pelacakan.
“Hal-hal seperti penebangan dan seberapa jauh mereka menyimpan log. Kami telah melihat mata pelajaran utama
(perusahaan) memiliki serangan dan ingin melakukan forensik standar dan data
tidak ada di sana karena penyedia cloud - milik kontrak - saja
mempertahankan data log selama 30 hari, ”kata Morrison.

Lain lagi sering
menyebutkan keluhan tentang kesalahan yang dilakukan Fortune 1000 CISO saat ini
ketakutan untuk berubah. Semua manusia takut akan perubahan - dan ya, terlepas dari apa yang dilakukan CFO
percaya, semua CISO secara teknis adalah manusia - tetapi analis berpendapat bahwa ini
resistensi terhadap perubahan keamanan terbukti sangat kontraproduktif.

Shawn Fohs, sang
direktur pelaksana forensik, privasi, dan respons dunia maya AS untuk
perusahaan konsultan Ernst & Young (EY), menunjukkan penolakan CISO secara umum
untuk, misalnya, pembelajaran mesin (ML) AI untuk keamanan, terlepas dari kenyataan itu
banyak dari perusahaan yang sama ini secara agresif menggunakan ML di departemen lain
untuk penelitian, pengembangan produk atau analisis pemasaran.

"Banyak dari itu adalah ...
masalah kepercayaan diri, ”katanya. CISOs “harus lebih menyadari potensi risiko
dan bagaimana risiko ini berkembang. Para profesional cybersecurity ragu untuk melakukannya
berubah dan itu adalah kesalahan bahwa mereka ragu-ragu untuk berubah. "

Banyak dari keragu-raguan ini
untuk mengubah dibuktikan dalam pola pembelian, kata Fohs. “CISO cenderung mendapatkan
sangat fokus pada itu kita membutuhkan alat ini untuk menyelesaikan masalah ini. Mereka juga
terpaku pada alat tertentu dan mereka tidak merangkul semua alat yang berbeda
yang tersedia untuk mereka. Mereka mendapatkan kelelahan vendor dan mereka tetap dengan apa yang mereka miliki
tahu "daripada" beradaptasi dengan pola pikir baru. Mereka pergi ke semua ini
konferensi dan mereka bertemu dengan semua vendor ini, tetapi bukannya sebenarnya
menarik atau merangkul (alat baru), mereka hanya kembali ke coba dan benar.
Mereka tahu apa yang secara historis berhasil bagi mereka. ” Dia mengutip terus menerus
otentikasi dan analisis perilaku sebagai contoh lain yang menjanjikan
teknologi yang bertemu dengan banyak resistensi CISO.

Wakil Presiden Riset Forrester dan Analis Utama
Jeff Pollard setuju dengan Fohs dan mengatakan bahwa banyak “CISO telah menciptakan itu
situasi untuk diri mereka sendiri dengan tidak terlibat dalam proses inovasi. Itu adalah
kurangnya fleksibilitas dan memperlakukan semuanya dengan sama. Keamanan belum terlalu
bersedia untuk menyesuaikan. " Dia ingin melihat lebih banyak CISO tidak hanya merangkul DevSecOps,
tetapi mengambil pendekatan DevSecOps dan menerapkannya untuk meningkatkan hubungan dengan
lini bisnis (LOB) dengan memasukkan orang-orang keamanan dalam kelompok-kelompok itu.

Tidak hanya itu
jenis kerja sama membawa keamanan ke dalam pengembangan produk jauh lebih awal, tetapi
anggota tim juga akan membawa kembali pemahaman yang jauh lebih canggih tentang
tujuan dan prioritas LOB tersebut sehingga keamanan tidak semata
meningkatkan, tetapi juga bisa menjadi jauh lebih responsif terhadap unit-unit bisnis dan
bahkan mungkin dapat secara akurat mengantisipasi kebutuhan mereka.

 PwC's Nocera juga melihat rasa puas diri dan kurangnya pertumbuhan ini menjadi kesalahan utama CISO. CISOs “tidak mengadaptasi model keamanan mereka untuk menjadi gesit seperti yang seharusnya. Mereka tidak berada di garis depan inovasi. Banyak dari pimpinan ini yang tumbuh menjadi teknolog yang luar biasa, (hebat) dalam menanggapi insiden. Zona nyaman mereka adalah melawan api, ”kata Nocera. 

Terkadang, orang baik menjadi orang jahat dengan sedikit kesalahan matematika

Di lingkaran keamanan, diskusi khas tentang
kesalahan adalah ketika CISO / CSO / Analis Keamanan dituduh membuat mereka. Tapi
terkadang para penjahat cyber atau teroris-cyber yang melakukan kesalahan. Dan
Yang lebih menarik lagi, terkadang orang baiklah yang melakukan kesalahan dan tidak sengaja
berubah menjadi orang jahat.

Sejarah insiden keamanan baru-baru ini memberi kita
dua contoh luar biasa dari kesalahan peretas yang mengubah peretas tebal itu menjadi
penyerang yang tidak disengaja.

Yang pertama adalah
Robert Tappen Morris, yang memberikan industri apa yang bisa dibilang yang pertama
Worm Internet (sekarang dikenal sebagai Worm Morris) kembali pada tahun 1988. Cacing itu, yang
membawa banyak Internet ke perayapan atau jalan buntu, adalah eksperimen itu
mahasiswa pascasarjana Morris diciptakan untuk menjelaskan tentang keamanan Internet
kegagalan. Poin dibuat.

Tapi niatnya tidak pernah menabraknya
Internet, belum pernah menciptakan sesuatu yang lebih mirip dengan
serangan D-DOS awal daripada cacing run-of-the-mill. Itu adalah hasil dari matematika
kesalahan yang dilakukan Morris. Sambil memanfaatkan celah di Finger ID, Sendmail dan
rsh / rexec, Morris menciptakan worm yang berdampak pada sejumlah komputer
global: Cukup untuk menegaskan maksudnya.

Ironisnya, kesalahan tumbuh dari eksplisit Morris
berusaha memastikan bahwa cacing tidak tumbuh liar di luar kendali. Melambat
itu turun, itu kode worm untuk, pada dasarnya, meminta setiap mesin yang dikunjungi apakah
worm sudah terpasang. Tetapi Morris tahu bahwa admin bisa saja
program sistem untuk selalu mengatakan “Ya, Anda sudah ada di sini. Kamu bisa pergi
sekarang." Untuk mengatasi ini, Morris memprogram worm untuk menginstal dirinya sendiri bahkan jika
sistem mengatakan sudah ada di sana, kira-kira satu dari tujuh kali.

Ternyata dia berniat memilikinya
instal sendiri hanya sekali dari tujuh kali, tetapi kesalahan matematika adalah
bahwa ia seharusnya memilih jumlah yang jauh lebih kecil. Itu sudah lebih dari cukup
untuk crash Internet.

 Lebih
Contoh terbaru adalah virus Heartbleed, dari tahun 2014 lalu
wawancara dengan pencipta Heartbleed Robin Seggelmann di Autralia's Sydney Morning
Herald, Seggelmann berkata "" Saya sedang berupaya meningkatkan OpenSSL dan menyerahkan
banyak perbaikan bug dan menambahkan fitur baru. Di salah satu fitur baru,
sayangnya, saya melewatkan validasi variabel yang berisi panjang. " Setelah
Seggelmann mengirimkan kode, peninjau “tampaknya juga tidak memperhatikan
validasi tidak ada, jadi kesalahan dibuat dari cabang pengembangan menjadi
versi yang dirilis. " Seggelmann mengatakan kesalahan itu "cukup sepele," meskipun
efeknya tidak. “Itu adalah kesalahan pemrograman sederhana dalam fitur baru, yang
sayangnya terjadi di area yang terkait dengan keamanan. ”

Adapun dampaknya, Herald mengatakannya dengan ringkas:
"Bug ini memperkenalkan cacat pada perangkat lunak OpenSSL yang populer, yang digunakan oleh
banyak situs jejaring sosial populer, mesin pencari, bank, dan online
situs belanja untuk menjaga keamanan data pribadi dan keuangan. Itu memungkinkan mereka yang
tahu keberadaannya untuk mencegat nama pengguna, kata sandi, detail kartu kredit
dan berbagai informasi sensitif lainnya dari server situs web dalam bentuk teks biasa.
Itu juga memungkinkan kunci enkripsi pribadi server dicuri. "

Jika jalan menuju neraka ditaburi dengan niat baik, demikian juga,
tampaknya, adalah jalan menuju bencana keamanan siber. Setidaknya terkadang.

Dari Terbitan SC Media edisi Maret 2020